El objetivo de los procesos descritos a continuación es el de garantizar que los empleados estén informados y actualizados en todo momento sobre las políticas de seguridad de la empresa. Por ello, será necesario formar y educar a éstos en las medidas de seguridad a aplicar y de las consecuencias que puede llevar su no cumplimiento.

\section{Proceso de contratación}

El proceso de contratación comenzará, en primer lugar, con la identificación de la procedencia de la fuente en la empresa, es decir, del departamento en el que se produce la necesidad a cubrir.
\\
\\
Identificada la fuente, se abrirá el plazo de reclutamiento y se permitirá a las personas demandantes de empleo que faciliten una copia de su curriculum vitae de forma física en la oficina de la empresa o de forma virtual mediante la dirección de correo.
\\
\\
Cerrado el periodo de contratación, comienza la fase de pre-selección de candidatos. En ella, el jefe de departamento seguirá un criterio de selección que determinará cuáles son los méritos profesionales del candidato que mejor se ajusta a las exigencias del puesto ofertado. Al mismo tiempo, el departamento de Recursos Humanos valorará el perfil personal de éste, teniendo en cuentas aspectos como:
\begin{itemize}
\item Historial criminal.
\item Nacionalidad de origen y obtención de ciudadanía.
\item Registros de denuncias realizadas.
\item Comprobación de empleos anteriores.
\item Evaluaciones psicotécnicas.
\end{itemize}

Una vez terminada la fase de preselección, el Jefe de Departamento identificado en primer lugar llevará a cabo una entrevista con cada uno de los demandantes seleccionados. La entrevista se realizará en la sala de reuniones de forma individual. El acceso al edificio será habilitado temporalmente para el candidato que deberá ser acompañado en todo momento por el responsable de la entrevista.
\\
\\
Seleccionado el candidato, el departamento de Recursos Humanos elaborará el contrato con la duración y términos correspondientes a la labor a desempeñar. Dicho contrato, juntos con sus datos personal serán dados de alta en el sistema de gestión del departamento de contabilidad. Se especificará:

\begin{itemize}
\item Datos personales. Nombre, apellidos, fecha de nacimiento, DNI, dirección, telefono.
\item Datos contractuales. Relación bancaria, planes de ahorro, impuestos, condiciones, duración, suelto y cargo que desempeña.
\end{itemize}

Por último, se informará y entregará al candidato una copia empresa sobre la seguridad en la empresa, junto a un acuerdo de confidencialidad que deberá leer y aceptar. Tras completar el proceso se le proporcionará una tarjeta identificativa para el control de acceso a la empresa, se le dotará acceso al sistema y a las herramientas con los privilegios pertinentes a determinar por el Jefe de departamento, y se le facilitará una nueva cuenta de correo electrónico en el dominio de la empresa.

\section{Proceso de despido}

La empresa deberá de avisar al trabajador con antelación antes de formalizar el proceso de despido. En caso contrario, se estimará una compensación económica por parte del departamento de Recursos Humanos.
\\
\\
Los posibles motivos de despido o terminación contractual podrán deberse a:
\begin{itemize}
\item Finalización del contrato.
\item Renuncia por parte del trabajador.
\item Despido colectivo o de fuerza mayor.
\item Despido disciplinario (véase \ref{medidasDisciplinarias}).
\end{itemize}

El departamento de Recursos Humanos también será el encargado de dar de baja al empleado del sistema de gestión, mientras que el Jefe de departamento lo hará en las herramientas y activos correspondientes. Sólamente la cuenta de correo electrónico quedará activa durante un periodo de tiempo bajo la supervisión del jefe de Recursos Humanos.
\\
\\
La información personal y laboral relevantes del empleado se archivarán y almacenarán de forma segura.
\\
\\
Por último, se eliminirá de todo posible acceso físico a las instalaciones de la empresa por parte del empleado retirando la tarjeta identificadora.

\section{Formación y concienciación del personal}

Todos los nuevos empleados recibirán una determinada formación por parte de sus respectivos Jefes de departamentos en base a la seguridad y manejo de la información en las diferentes herramientas y documentos de la empresa que les competen. Se hará un mayor énfasis en uso de datos con seguridad alta, contraseñas y correo electrónico.
\\
\\
Cada tres meses aproximadamente se realizará una auditoría interna en el que cada Jefe de departamento recordará y evaluará las actitudes, aspectos y métodos que coinciernen a cada empleado respecto a la seguridad en la empresa.
\\
\\
Además de las auditorías internas, ante cualquier cambio realizado sobre la política de seguridad que afecte al tratamiento de la información utilizada por algún empleado deberá ser transmitida por el correspondiente Jefe de Departamento, o en su defecto, por el gerente de la empresa.

\section{Medidas disciplinarias}\label{medidasDisciplinarias}

Las medidas disciplinarias serán aplicadas en base a si la acción y la consecuente vulnerabilidad está dentro de las siguientes categorías:

\begin{itemize}
\item Daños leves: Si se produce una vulnerabilidad leve, la seguridad ha sido comprometida involutariamente, se procederá a la apertura de un expediente displinario con las consecuentes sanciones que implica o se advertirá al usuario de las medidas y acciones a tomar. Dichos daños son los consecuentes de los errores comprendidos desde E1 a E28. (véase \ref{erroresNoIntencionados}).
\item Daños graves: Si se produce una vulnerabilidad alta, ante la pérdida de datos con carácter confidencial y protegidos por la ley, o ante una brecha en la seguridad que conlleve a ello, el empleado será despedido inmediatamente, la haya realizado voluntaria o involuntariamente, informando a las autoridades pertinentes.
Dichos daños son los consecuentes de los errores comprendidos desde A4 a A30. (véase \ref{ataquesIntencionados}). 
\end{itemize}

Si el jefe de seguridad entiende que el daño producido por las amenazas de E1 a E28 conlleva un riesgo o pérdida de información vital para la empresa podrá ser considerado como daño grave.

